• (+39) 0823 322 898
  • info@bidata.it

Whitepaper SaaS



1. LEGENDA

  • ACN – Agenzia per Cyber Sicurezza Nazionale.
  • AdS – Amministratore di Sistema
  • Bidata – Bidata S.r.l.
  • CSP – Cloud Service Provider, fornitore di servizi Cloud.
  • Hetzner – Hetzner Online GmbH
  • NDA – NonDisclosure Agreements, accordo di riservatezza.
  • PII – Personally Identifiable Information, ovvero informazioni relativi alla persona fisica.
  • RUP – Referente Unico del Progetto.
  • SaaS – Software as a Service: è un modello di distribuzione del software applicativo dove un produttore di software sviluppa, opera e gestisce un'applicazione che mette a disposizione dei propri clienti via Internet.
  • SLA – Service Level Agreement.
  • SLI – Service Level Indicator


2. INFRASTRUTTURA

2.1 Bidata si avvale di tre fornitori di infrastruttura Cloud: Noovle (Noovle S.p.A) ed Hetzner (Hetzner Online GmbH).

  • Il fornitore dell’infrastruttura Cloud Noovle (gruppo TIM), CSP in possesso delle certificazioni per la PA previste dalla circolare AGID n. 3 del 9 aprile 2018, garantisce adeguati livelli di integrità, disponibilità e di riservatezza.
    Condizioni, ruoli e responsabilità di Noovle nella fornitura dell’infrastruttura Cloud e nel trattamento di informazioni in essa contenute, sono resi disponibili dal fornitore su richiesta;
  • Il fornitore dell’infrastruttura in Cloud Hetzner è un'azienda tedesca specializzata in servizi di hosting, cloud computing e server dedicati: è una delle principali aziende di hosting in Europa, e gestisce una rete di data center in Germania e Finlandia. La società è rinomata per la sua affidabilità, velocità e stabilità, offrendo ai suoi clienti servizi di alta qualità con un'assistenza clienti eccellente. Condizioni, ruoli e responsabilità di Hetzner nella fornitura dell’infrastruttura Cloud e nel trattamento di informazioni in essa contenute, sono pubblicati dal fornitore nel documento: https://www.hetzner.com/legal/terms-and-conditions/

BIDATA, come parte del suo impegno per una collaborazione trasparente e orientata al cliente, comunica preventivamente agli stessi l’ingresso di nuovi fornitori nella loro catena di approvvigionamento. Questa iniziativa è volta a garantire che i nostri clienti siano sempre informati e coinvolti nel processo decisionale che riguarda i fornitori che potrebbero influenzare i servizi forniti. Prima di considerare un nuovo fornitore, BIDATA effettua un'attenta valutazione per garantire che il fornitore sia affidabile, competente e allineato ai nostri standard di qualità. Una volta che un nuovo fornitore è stato identificato e valutato positivamente, BIDATA avvierà il processo di comunicazione con i clienti, i quali riceveranno una notifica attraverso canali appropriati, come e-mail o pec. La notifica conterrà dettagli chiave sul nuovo fornitore, inclusi il nome, l'area di competenza, il motivo della scelta e l’impatto sul servizio. BIDATA fornirà un canale per le domande e le preoccupazioni dei clienti. Gli operatori saranno disponibili per rispondere a qualsiasi richiesta di chiarimento e fornire ulteriori dettagli.

L’accettazione da parte del cliente del cambio di fornitore si ritiene avvenuta in base ai principi di silenzio/assenso (legge 7 agosto 1990, n. 241.) ovvero, dopo la mancata espressiva richiesta da parte del cliente tramite pec, nei 10 gg successivi alla comunicazione ricevuta da parte di BIDATA.

Nel caso venga richiesto l’annullamento del contratto da parte del cliente, BIDATA provvederà ad avviare la procedura di reversibilità e disattivazione del servizio (paragrafi 13 e 15).

2.2 Bidata seleziona, per i servizi cloud forniti da Noovle, datacenter italiani con sede a Rozzano (MI). Il datacenter è dotato di certificazioni 9001, 27001 (con linee guida 27017 e 27018 per i servizi Data Center vCloud utilizzati), 14001 e 50001. Il datacenter è certificato secondo la normativa ANSI/TIA-942 al massimo livello (former Tier 4).

2.3 Bidata seleziona, per i servizi cloud forniti da Hetzner, datacenter europei con sedi in Germania (Falkenstein e Nuremberg) o in Finlandia (Helsinki). La scalabilità ed il costo competitivo dei servizi offerti da Hetzner lo rendono ideale per i servizi in SaaS destinati ad Aziende e Privati. Lo stato dei sistemi e dei servizi di Hetzner è riportato in tempo reale alla pagina: https://status.hetzner.com


3. PROTEZIONE DEL SISTEMA E DEI DATI

I servizi SaaS sono erogati da Bidata, azienda che detiene la piena proprietà dei prodotti concessi in licenza d’uso. Al fine di garantire la sicurezza dei dati in ogni fase dell'utilizzo delle applicazioni, Bidata ha messo in atto le seguenti misure.

3.1 Le comunicazioni da/verso il servizio cloud avvengono all’interno di un canale sicuro TLS, con queste caratteristiche:

  • Algoritmo della firma SHA-256;
  • Chiave pubblica RSA 2048 bit

3.2 Il controllo degli accessi al sistema di gestione e configurazione della piattaforma avviene esclusivamente con le credenziali di autenticazione ad esclusivo utilizzo dell’Amministratore di Sistema di Bidata;

3.3 L’adeguata piattaforma di trasferimento di informazioni, tramite canale sicuro FTPS in area dedicata, oppure altro metodo alternativo con pari grado di sicurezza;

3.4 Il monitoraggio delle risorse e controllo del log degli accessi al servizio SaaS tramite l’utilizzo di strumenti dedicati (Prometheus e Grafana); per richiedere maggiori informazioni sulla raccolta di log nelle procedure SaaS Bidata, è possibile attivare una richiesta di supporto al Canale di Assistenza Tecnica (vedere l'apposita sezione "Contatti" di questo whitepaper);

3.5 Il log dettagliato degli accessi e delle operazioni eseguite nel sistema, sia amministrative che operative, viene storicizzato su sistema logicamente o fisicamente separato in modalità criptata (AES-256) non esposto e non modificabile, accessibile al solo Amministratore di Sistema di Bidata;

La retention massima dei log è 5 anni;

  • Salvo dove non altrimenti possibile, sono messe in atto azioni al fine di evitare l’inclusione di PII all’interno dei log;

3.6 La pubblicazione del servizio, la protezione dei dati e la gestione dei backup vengono eseguite nell’osservanza delle policy aziendali, fornibili a richiesta;

3.7 Gli aggiornamenti del sistema e degli applicativi a seguito di evoluzione del prodotto o di intervenute esigenze normative sono eseguite da Bidata previa comunicazione fornita al cliente.

3.8 Il prodotto software mette a disposizione adeguati strumenti per la protezione degli account utente, dell’accesso al sistema (es. protezione da attacchi brute force) e di tutela delle PII in caso di sospetta compromissione delle credenziali di accesso (es. a seguito della loro presunta divulgazione involontaria).


4. REGISTRAZIONE E DEREGISTRAZIONE DELL'UTENTE

4.1 Il servizio è accessibile esclusivamente tramite autenticazione; Le credenziali di primo accesso sono create da Bidata e consegnate tramite canale sicuro al referente del Cliente, successivamente alla sottoscrizione del contratto.

4.2 La creazione delle credenziali di primo accesso avverrà successivamente alla sottoscrizione del contratto con Bidata, seguendo queste modalità:

  • Un referente aziendale, il RUP, o un responsabile da esso nominato, si occuperà di fornire la lista di utenti ai quali abilitare l'accesso al servizio SaaS;
  • Bidata potrà creare nuovi accessi al servizio SaaS solo se convalidati in forma scritta dal suddetto responsabile;
  • Le richieste di creazione di nuove credenziali di accesso ai servizi SaaS devono pervenire via e-mail all'indirizzo helpdesk@bidata.it oppure tramite la pagina di ticketing dedicata il cui link sarà fornito da Bidata al RUP o referente;
  • Bidata si impegna a processare le richieste di nuovi accessi ai servizi SaaS entro 7 giorni lavorativi;
  • Gli utenti riceveranno le credenziali di accesso su canale sicuro e saranno obbligati alla loro modifica in occorrenza del primo accesso o dopo un tentativo di recupero.

4.3 Qualora ci fosse la necessità di visionare una versione di prova (demo) dell'applicativo SaaS prima della sottoscrizione del contratto, saranno create credenziali esclusivamente dedicate a questo scopo su un'ambiente dedicato.
È compito del Cliente prendere in carico le credenziali di primo accesso e procedere immediatamente con la variazione della relativa password.

4.4 È dovere del Cliente attuare tutte le buone norme sulla conservazione in sicurezza delle credenziali di accesso ai servizi SaaS Bidata; qualora si avesse il sospetto della compromissione delle credenziali di accesso, il Cliente è tenuto a eseguire tempestivamente la variazione della password in autonomia o aprendo una richiesta di supporto tramite il Canale di Assistenza Tecnica (vedere l'apposita sezione "Contatti" di questo whitepaper).

4.5 Bidata non sarà tenuta responsabile per qualsiasi inconveniente derivato dall'utilizzo non autorizzato delle credenziali di accesso del cliente ai servizi SaaS Bidata.

4.6 È possibile, qualora sia definito all'interno del contratto, abilitare il Cliente alla creazione autonoma di ulteriori accessi alla piattaforma SaaS. In questo caso sarà responsabilità del cliente la corretta creazione, gestione, comunicazione ed eventuale eliminazione di queste credenziali di accesso.

4.7 È previsto, nelle forniture SaaS destinate alle Pubbliche Amministrazioni, l’accesso ai servizi tramite metodi di accesso sicuri e certificati come SPID, CIE e CieID.

4.8 La deregistrazione degli utenti dal servizio SaaS di Bidata può avvenire in una delle seguenti forme:

  • Alla cessazione del contratto, vengono contestualmente disattivati gli account SaaS utilizzati dal Cliente;
    Per maggiori informazioni vedere il punto 15 - ATTIVAZIONE E DISATTIVAZIONE DEL SERVIZIO;
  • Dopo richiesta scritta da parte del Cliente, convalidata per iscritto dal RUP o da un responsabile da esso nominato;
    In questo caso Bidata si impegna a processare le richieste di deregistrazione dai servizi SaaS entro 7 giorni lavorativi;

Le richieste di deregistrazione delle credenziali di accesso ai servizi SaaS devono pervenire via e-mail all'indirizzo helpdesk@bidata.it oppure tramite la pagina di ticketing dedicata.

4.9 Per maggiori informazioni sul processo di registrazione degli utenti alla piattaforma SaaS di Bidata, è possibile attivare una richiesta di supporto al Canale di Assistenza Tecnica (vedere l'apposita sezione "Contatti" di questo whitepaper).


5. SICUREZZA ORGANIZZATIVA

5.1 Bidata assicura che tutti coloro che operano nell’ambito dell’erogazione dei servizi siano adeguatamente selezionati e formati al fine di poter raggiungere la consapevolezza dell’importanza delle informazioni trattate.

5.2 A tutti i dipendenti e collaboratori che operano con le informazioni del cliente e i servizi forniti, Bidata richiede la firma di una NDA e il rispetto delle relative politiche aziendali.

5.3 Sono inoltre pianificati programmi periodici di formazione e verifica interna del personale.


6. MULTITENANCY E ACCESSO ALLE RISORSE DEL CLIENTE

6.1 Le caratteristiche di tenancy dell'ambiente SaaS fornito da Bidata sono definite in modalità single-tenant:

  • Il cliente è proprietario in esclusiva di una porzione delle risorse hardware fornite da Bidata;
  • l'ambiente software è dedicato esclusivamente al cliente;
  • le risorse del cliente sono isolate così da impedire ad un cliente di accedere ai dati di altri clienti.

6.2 Le persone che possono accedere alle risorse del cliente sono quelle individuate nel team di lavoro dedicato.

6.3 Per maggiori informazioni sulle caratteristiche del servizio SaaS, è possibile attivare una richiesta di supporto al Canale di Assistenza Tecnica (vedere l'apposita sezione "Contatti" di questo whitepaper).


7. SVILUPPO SICURO

7.1 Gli ambienti di sviluppo di Bidata sono segregati e accessibili solo al personale autorizzato.

7.2 Lo sviluppo del software segue le linee guida di sviluppo sicuro, atte ad assicurare che vengano rispettati i principi di Security by Design e di Privacy by Design emanate da AGID.

7.3 Tanto per i test quanto per le attività di sviluppo è garantito un ambiente sicuro e separato da quello di produzione.


8. BACKUP

8.1 Bidata ha stabilito politiche specifiche per la salvaguardia dei dati relativi ai servizi cloud (backup). I backup sono preventivamente criptati con algoritmo AES-256 e successivamente trasferiti tramite canale sicuro su sistema, fisicamente separato dall’ambiente di produzione, situato in Italia o comunque nell’Unione Europea.

8.2 Solo il personale autorizzato ha accesso alle location del backup.

8.3 Bidata effettua regolari verifiche sui backup eseguiti. La retention minima dei backup dei database è di 1 anno, mentre la retention massima è di 5 anni o fino alla risoluzione del contratto. La retention delle macchine virtuali fornite dai CSP è di 7 giorni (una copia al giorno) per Hetzner e 14 giorni per Noovle (una copia al giorno).

8.4 Il Cliente può richiedere evidenza dell'avvenuta esecuzione delle verifiche sui backup inviando una richiesta tramite il Canale di Assistenza Tecnica (vedere l'apposita sezione "Contatti" di questo whitepaper).
Bidata si impegna a rispondere alla richiesta di verifica sui backup entro 15 giorni lavorativi, allegando dove possibile un report dettagliato del test effettuato.

8.5 Se richiesto dal Cliente, viene fornita la possibilità di utilizzare una chiave privata per effettuare la cifratura dei backup: questo processo assicura che i dati siano crittografati in modo robusto e che solo il possessore della chiave possa accedere ai dati non cifrati. Il cliente può generare una propria chiave privata o fornirne una a noi. La chiave privata sarà gestita con attenzione, seguendo protocolli di sicurezza rigorosi. Garantiamo che la chiave non venga compromessa o persa, in quanto ciò potrebbe causare la perdita irreversibile dell'accesso ai dati cifrati.


9. SICUREZZA OPERATIVA

9.1 Bidata riconosce che la gestione delle vulnerabilità tecniche dei sistemi informatici sia una delle attività fondamentali per garantire la sicurezza e la piena operatività dei propri servizi.

9.2 A tal fine sono state predisposte risorse che si occupano di ricercare, gestire e risolvere le vulnerabilità tecniche individuate.

9.3 Qualora siano riscontrate gravi vulnerabilità tecniche non risolvibili (0-day) sul sistema cloud, Bidata informerà il cliente tramite comunicazione documentata.


10. SEGREGAZIONE DELLE RISORSE

10.1 Bidata mette in atto adeguate politiche al fine di ottenere l’isolamento delle risorse in cui sono presenti dati dei clienti.

10.2 Dove possibile, vengono messi in atto automatismi per eliminare le informazioni create a seguito di altre elaborazioni (per esempio, file temporanei).

10.3 L’accesso da parte di personale aziendale, anche in sola lettura, ai dati è regolamentato secondo il criterio “least privilege” per il quale ad ogni operatore è concesso il privilegio minimo necessario per poter svolgere i propri compiti.


11. GESTIONE DEL CAMBIAMENTO

11.1 Bidata adotta politiche e procedure al fine di gestire in maniera ottimale e controllata i cambiamenti all’infrastruttura cloud o agli applicativi ivi ospitati.

11.2 Bidata metterà in atto procedure di notifica ai clienti dei cambiamenti che è intenzionata a eseguire o che sono già stati effettuati. Dove necessario, saranno inclusi nelle procedure di notifica dettagli relativi a:

- Categoria dei cambiamenti;

- Data e ora dell’intervento pianificato;

- Descrizione tecnica dei cambiamenti all’infrastruttura o agli applicativi ospitati;

- Notifica di inizio o fine dell’intervento.

11.3 Inoltre Bidata notificherà ai clienti qualsiasi cambiamento eseguito o programmato dai CSP Noovle ed Hetzner che dovessero avere impatto sui servizi cloud pubblicati.


12. GESTIONE DEGLI INCIDENTI

12.1 Bidata ha definito controlli e procedure per poter permettere un approccio organizzato e regolato alla gestione degli incidenti come parte della propria strategia di sicurezza delle informazioni.

12.2 Qualora si verifichino incidenti relativi alla sicurezza informatica di gravità tale che sia presente un rischio elevato per i diritti e le libertà fondamentali degli interessati, Bidata si occuperà di comunicare l’accaduto al cliente nel minor tempo possibile. In caso di Data Breach, il cliente contatterà tramite e-mail all’indirizzo privacy@bidata.it

12.3 Il canale utilizzato per la comunicazione e le caratteristiche di quest’ultima saranno definite da Bidata in base alla tipologia di violazione.

12.4 Il referente che sarà contattato da Bidata in caso di incidente è il referente aziendale o il RUP indicato dal cliente e definito all’interno del contratto.

12.5 Il referente di Bidata da contattare per la segnalazione di eventuali incidenti o per ottenere un aggiornamento su segnalazioni precedenti è la Direzione (vedere sezione contatti all’interno di questo documento).

12.6 Tutti i dettagli relativi alla gestione degli incidenti sono presenti nella procedura aziendale di riferimento, producibili avanzando apposita richiesta tramite il Canale di Assistenza Tecnica (vedere la sezione Contatti di questo whitepaper).


13. REVERSIBILITÀ

13.1 Bidata garantisce al cliente la possibilità di estrarre in qualsiasi momento una copia completa di dati, metadati e documenti memorizzati dal servizio SaaS in formati pubblici e aperti.

13.2 Allo scopo di consentire la migrazione da un altro Fornitore SaaS o servizio SaaS, Bidata garantisce al cliente la possibilità di importare i dati all’interno del servizio SaaS tramite formati pubblici e aperti, ovvero per le PA, nel rispetto dei requisiti di interoperabilità e portabilità contenuti nella Circolare n. 2 e nella Circolare n. 3 dell’AGID del 9 Aprile 2018.


14. GESTIONE PII

14.1 Bidata può trattare PII al fine unico di eseguire il lavoro concordato con il Cliente in fase contrattuale.

14.2 Bidata è responsabile delle PII che risiedono su suoi servizi SaaS e sarà sua responsabilità garantire la loro protezione, integrità e disponibilità. La protezione delle PII raccolte dal sistema avviene con criptazione dell’archivio dati, secondo le indicazioni sullo sviluppo sicuro di AGID. Nell’ambito del servizio di assistenza, Bidata si impegna a non divulgare a terzi PII senza l'esplicito consenso del cliente, salvo che questa azione non vada in violazione della legislazione corrente.

14.3 L’utilizzo di PII in ambito di test e demo degli applicativi è vincolato alla stretta osservanza di regole al fine di evitare la divulgazione involontaria delle PII. I dati contenenti PII utilizzati nell’ambito di test vengono storicizzati in luogo sicuro e segregato oppure eliminati appena terminata l’esigenza della loro conservazione o allo scadere del contratto con il titolare del trattamento.

14.4 Nel caso di richieste fatte nell’ambito di procedimenti giudiziari, Bidata si impegna a darne tempestiva informazione al cliente salvo liceità dell’azione.


15. ATTIVAZIONE E DISATTIVAZIONE DEL SERVIZIO

15.1 Il processo di attivazione decorre dalla sottoscrizione contrattuale e prevede l’attivazione entro 7 giorni dell’istanza applicativa, l’abilitazione dei servizi acquisiti e la trasmissione delle credenziali temporanee di primo accesso.

15.2 Il processo di disattivazione parziale o totale del servizio si attiva automaticamente decorsi 30gg dal termine contrattuale o a seguito di esplicita richiesta del Cliente.

15.3 Il proprietario esclusivo dei dati raccolti e memorizzati nell’archivio dell’applicativo è il cliente.

15.4 Al termine del contratto tra Bidata e il cliente, quest’ultimo riceverà copia completa dei dati a chiusura del servizio, in formati concordati con il cliente (es. CSV, MDB, SQL Server, ecc..).

15.5 Saranno inoltre messe in atto le politiche riguardanti la dismissione o il riutilizzo delle risorse previste dalle policy aziendali, producibili a richiesta.


16. SLA (SERVICE LEVEL AGREEMENT)

16.1 È definita Service Level Agreement (“SLA”) la metrica di Servizio che Bidata si impegna a rispettare nei confronti del Cliente. Bidata definisce ed aggiorna parametri di riferimento per l’erogazione dei servizi in SaaS, ovvero, un “Service Level Agreement” disponibile all’indirizzo: https://www.bidata.it/service-level-agreement/

16.2 Gli SLI associati agli SLA sono costantemente monitorati da Bidata tramite strumenti e software dedicati.

16.3 In nessun caso saranno prese in considerazione misurazioni degli SLI effettuate tramite strumenti diversi dai sistemi predisposti da Bidata. Nell'ambito dei SLI si fa presente che non saranno conteggiati i tempi di indisponibilità dovuti a interventi di manutenzione programmati da Bidata.

16.4 Al fine di verificare il rispetto degli SLA da parte di Bidata, il Cliente può richiedere un report riepilogativo dettagliato dei dati relativi al monitoraggio dei SLI di proprio interesse. La richiesta deve pervenire attraverso il Canale di Assistenza Tecnica (vedere la sezione Contatti di questo whitepaper). Bidata si impegna a inviare il report entro 7 giorni lavorativi dal momento di ricezione della richiesta.

Dal momento dell'invio del report, il Cliente ha 10 giorni per avanzare notifiche per presunti casi di mancato raggiungimento degli SLA, rispondendo tramite il medesimo canale.

Alla ricezione della notifica di mancato raggiungimento degli SLA, Bidata attiverà una verifica dei dati in proprio possesso per valutare la fondatezza della contestazione; al termine della verifica Bidata comunicherà al Cliente l'esito di tale verifica e di conseguenza la possibilità o meno di accettare la contestazione.

16.5 È possibile visionare lo status in tempo reale dei servizi SaaS di Bidata facendo riferimento alla pagina: https://status.bidata.it


17. REFERENTI E CONTATTI

17.1 Il Canale di Assistenza Tecnica di Bidata è raggiungibile all’indirizzo mail helpdesk@bidata.it

17.2 Il responsabile della configurazione e del funzionamento in produzione dei sistemi SaaS è raggiungibile all’indirizzo mail sys-admin@bidata.it

17.4 Il responsabile dei dati contenuti nei sistemi SaaS è raggiungibile all’indirizzo mail info@bidata.it

17.5 Bidata opera come responsabile del trattamento dei dati ed è contattabile all’indirizzo privacy@bidata.it o al numero di telefono +39 0823 322 898.

17.6 In caso di necessità di segnalazioni di presunta violazione della altrui proprietà intellettuale, inviare una mail all’indirizzo: info@bidata.it

17.7 Per richieste relative ad audit o riesami relativi alla sicurezza delle informazioni, contattare il Responsabile dei Sistemi all’indirizzo mail sistemidigestione@bidata.it

17.8 Per richieste relative a incidenti di sicurezza, contattare l’indirizzo mail gestioneincidenti@bidata.it


Data di aggiornamento: 11/08/2023


🔗 Consulta la versione precedente